WO 2005/045685 



1 



PCT/EP2004/012435 



Beschreibung 

Verfahren zur Speicherung von Daten in einem Wahlzugrif f spei- 
cher und Verschlusselungs- und Entschliisselungsvorrichtung 

5 

Die vorliegende Erfindung betrif ft ein Verfahren zur Speiche- 
rung von Daten in einem Wahlzugrif fsspeicher und eine 
Verschlusselungs- und Entschliisselungsvorrichtung. 

10 Zur Gewahrleistung von Datensicherheit oder zum Schutz von 
Urheberrechten ist es bekannt, Daten in Festwertspeichern 
(ROM) , wie beispielsweise EPROM, EEPROM, CD-ROM, DVD-ROM 
usw., verschliisselt abzuspeichern. Diese Daten konnen dabei 
sowohl Daten ablauf f ahiger Programme (Programmcodes) als auch 

15 Video- oder Audiodaten betreffen. Weiterhdn ist es bekannt, 
Video- oder Audiodaten verschliisselt von einer Sendeeinrich- 
tung zu einer Empf angereinrichtung zu ubeartragen. 

Eine Nutzung der verschliisselt abgespeicherten oder ver- 
20 schlusselt tibertragenen Daten soil dadurcti nur solchen Nut- 
zern ermOglicht werden, die iiber eine entsprechende Ent- 
schlusselungseinheit (Decoder) mit einem "passenden" Schlus- 
sel verfiigen. 

25 Herkommliche Verschliisselungsalgorithmen, wie beispielsweise 
das DES-Verfahren (DES = Data Encryption Standard) oder das 
AES-Verfahren (AES = Advanced Encryption Standard) verschlus- 
seln/kodieren die Daten blockweise, wobei beispielsweise beim 
DES-Verfahren jeweils 64 Datenbits in einem Block kodiert 

30 werdeh. Da bei diesen Verfahren die Anzahl der in einem Da- 

die Anzahl der Datenbits eines durch eine Verarbeitungsein- 
heit verarbeitbaren Datenworts, ist es erf orderlich, die nach 
dem Dekodieren eines Datenblockes erhaltenen Datenworte vor 
35 ihrer weiteren Verarbeitung durch die Veraarbeitungseinheit in 
einem Wahlzugrif fsspeicher (RAM = Random Access Memory) abzu- 
legen. 
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Solche extern zu der Verarbeitungseinheit angeordneten RAM, 
stellen insofern ein Sicherheitsrisiko dar, als die Moglich- 
keit besteht, die entschliisselten Daten an der Verbindungs- 
5 strecke zwischen dem RAM und der Verarbeitungseinheit ab- 
zugreifen. Diese Daten, beispielsweise Video- oder Audioda- 
ten, k6nnen dann unverschltisselt abgespeichert und somit ei- 
ner nicht autorisierten Nutzung zuganglich gemacht werden. 

10 Handel t es sich bei den im RAM abgespeicherten Daten urn Daten 
eines Progratnmcodes so besteht die Gefahr, dass anhand des 
unverschltisselt zuganglichen Programmcodes der Programmablauf 
durch Unbefugte ermittelt werden kann. Auflerdem besteht die 
Gefahr, dass der das Programm ausfiihrenden Einheit nicht au- 

15 torisierter Programmcode zugefuhrt wird, urn beispielsweise 
zusatzliche Funktionalitaten, die durch den autorisierten 
Programmcode nicht bereitgestellt werden sollen, bereitzu- 
stellen. 

20 Ziel der vorliegenden Erfindung ist es ein sicheres Verfahren 
zur Speicherung von Daten in einem RAM anzugeben, das die ge- 
nannten Nachteile nicht aufweist und das mit geringem Aufwand 
realisierbar ist, und eine Vorrichtung zur Verschlusse- 
lung/Entschltisselung der in einem RAM abzuspeichernden Daten 

25 anzugeben. 

Diese Ziele werden durch ein Verfahren nach Anspruch 1 und 
durch eine Vorrichtung nach Anspruch 12 gel6st. Vorteilhafte 
Ausgestaltungen der Erfindung sind Gegenstand der Unteran- 
30 sprtiche. 

Das erf indungsgemSJie Verfahren zum Speichern von Daten in ei- 
nem Wahlzugrif f sspeicher (RAM) , in dem Datenworte mit einer 
vorgegebenen Anzahl Datenbits abspeicherbar sind, sieht vor, 
35 vor der Speicherung eine Verschlusselung eines jeden Daten- 
wortes vorzunehmen, indem aus jedem Datenwort oder einem aus 
dem Datenwort abgeleiteten Datenwort durch eineindeutiges Urn- 
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ordnen/Permutieren der einzelnen Datenbits unter Verwendung 
eines ersten Permutationsschlussels ein permutiertes Daten- 
wort mit der vorgegebenen Anzahl Datenbits erzeugt wird. 

5 Vorteilhaf terweise werden bei diesem Verfahren die einzelnen 
Datenbits des permutierten Datenwortes vor dem Abspeichern 
unter Verwendung eines ersten Substitutionsschlussels substi- 
tuiert, wobei das durch Permutation und anschliefiende Substi- 
tution erzeugte verschliisselte Datenwort in dem Speicher ab- 

10 gespeichert wird. In diesem Zusammenhang besteht auch die 

Moglichkeit, die Datenbits des zu verschlusselnden Datenwor- 
tes vor der Permutation unter Verwendung eines ersten Substi- 
tutionsschlussels zu substituieren und das aus der Substitu- 
tion und der anschlielienden Permutation erhaltene Datenwort 

15 als verschlusseltes Datenwort abzuspeichern. 

Die Verschlusselung der einzelnen Datenworte erfolgt vorzugs- 
weise in demselben Chip, in dem eine die Datenworte verarbei- 
tende Verarbeitungseinheit integriert ist. Die von diesem 

20 Chip nach aufien an den RAM-Speicher zur Abspeicherung xiber- 
tragenen Datenworte liegen bei diesem Verfahren verschliis- 
selt, und damit geschtitzt gegen Stdreinf lusse oder unbefugtes 
Abgreifen der Daten vor. Die Verschlusselung erfolgt bei dem 
Verfahren datenwortweise, so dass - anders als bei einer 

25 blockweisen Verschltisselung - keine zusStzlichen Speicher auf 
dem Chip fur die Verschlusselung bzw. eine Entschliisselung 
erforderlich sind. 

Die Permutation bzw. Umordnung der einzelnen Datenbits nach 
30 Mafigabe des Permutationsschlussels stellt ein leistungsf ahi- 
ges Verschlusselungsverf ahren dar. Bei einem Datenwort der 
Breite 32 Bit gibt es 32!«2,6-10 35 verschiedene Permutations- 
moglichkeiten. Diese Anzahl der VerschlusselungsmSglichkeiten 
erhdht sich bei einem Datenwort der Lange 32 Bit urn einen 
35 Faktor 2 32 , wenn neben der Permutation eine Substitution des 

Eingangsdatenwortes oder des bereits permutierten Datenwortes 



WO 2005/045685 



4 



PCT/EP2004/012435 



unter Verwendung eines Substitutionsschliissels der Lange 32 
Bit vorgenotnmen wird. 

Die Substitution eines zu substituierenden Datenwortes nach 
5 MaBgabe des Substitutionsschliissels erfolgt beispielsweise 

dadurch, dass jedem Datenbit des Datenwortes ein Schliisselbit 
des Substitutionsschliissels zugeordnet wird, wobei das jewei- 
lige Datenbit abhangig vom Wert des zugeordneten Substituti- 
onsschliisselbits unverandert oder invertiert auf das aus der 
10 Substitution resultierende Datenwort abgebildet wird. 

Der Permutationsschliissel umfasst bei einer Ausf uhrungsf orm 
eine der Anzahl der Datenbits des zu permutierenden Datenwor- 
tes entsprechende Anzahl eindeutige Teilschliissel, die je- 
15 weils einem Datenbit des aus der Permutation result ierenden 
permutierten Datenwortes zugeordnet sind. Die einzelnen Teil- 
schliissel geben an, welches der Datenbits des zu permutieren- 
den Datenwortes auf das jeweilige Datenbit abzubilden ist, 
dem der Teilschliissel zugeordnet ist. 

20 

Jeder Teilschliissel des Permutationsschliissels umfasst dabei 
eine Anzahl Schliisselbits, wobei vorzugsweise vorgesehen ist, 
die Abbildung eines Datenbits des zu permutierenden Datenwor- 
tes auf ein Datenbit des permutierten Datenwortes unter Ver- 
25 wendung eines Teilschliissels stufenweise mit folgenden Ver- 
f ahrensschritten durchzuf iihren : 

a) Auswahlen einer ersten Gruppe von Datenbits aus den Daten- 
bits des zu permutierenden Datenwortes nach MaBgabe eines 

30 ersten Schliisselbits des Teilschliissels, 

b) Auswahlen einer zweiten Gruppe von Datenbits aus der an- 
hand der vorherigen Auswahl erhaltenen ersten Gruppe von Da- 
tenbits nach MaBgabe eines zweiten Schliisselbits des Teil- 

35 schliissels, 
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c) Wiederholen des Verf ahrensschrittes b) unter Verwendung 
jeweils eines weiteren Schlusselbits, urn jeweils aus einer 
durch eine vorherige Auswahl erhaltenen Gruppe eine weitere 
Gruppe auszuwahlen bis die ausgewahlte Gruppe nur noch ein 
5 Datenbit umfasst, das dem Datenbit des permutierten Datenwor- 
tes entspricht. 

Ein solches stufenweises Auswahlverf ahren zur Abbildung eines 
Datenbits des zu permutierenden Datenwortes auf ein Datenbit 
10 des permutierten Datenwortes bietet den Vorteil, dass zu sei- 
ner Realisierung keine Speicherelemente erforderlich sind. 

Der Permutationsschlussel und gegebenenf alls der Substituti- 
onsschliissel werden vor einem neuen Beschreiben des RAM- 
15 Speichers, beispielsweise nach dem Einschalten eines den RAM- 
Speicher enthaltenden GerStes, neu erzeugt. 

Der Substitutionsschliissel, der eine der Anzahl der Datenbits 
entsprechende Anzahl Substitutionsschlusselbits umfasst, wird 

2 0 dabei erzeugt, indem eine entsprechende Anzahl Bits aus einer 

durch einen Zuf allsgenerator bereitgestellten Sequenz heraus- 
gegriffen werden. 

Bei der Erzeugung des Permutationsschlussels ist zu beachten, 
25 dass sich die einzelnen Teilschlussel unterscheiden mussen, 

urn eine eindeutige Zuordnung eines Datenbits des zu permutie- 
renden Datenwortes auf ein Datenbit des permutierten Daten- 
wortes zu gewahrleisten. Zur Erzeugung der einzelnen Teilper- 
mutationsschliissel, die jeweils einer Bitposition des permu- 

3 0 tierten Datenwortes zugeordnet sind, und die gemeinsam den 

Permutationsschlussel ergeben, ist vorgesehen, nacheinander 
fur jede Bitposition des permutierten Datenwortes einen Teil- 
permutationsschltissel zu erzeugen und dabei jeweils zu 
iiberprufen, ob der erzeugte Teilpermutationsschlussel bereits 
35 fur eine andere Bitposition erzeugt wurde. Wurde dieser 
Teilpermutationsschliissel bereits erzeugt , so wird er 
verworfen und ein neuer Teilpermutationsschlussel wird fur 
die jeweilige Bitposition zufallig erzeugt. Ist der zufallig 
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Bitposition zufallig erzeugt. 1st der zufallig erzeugte Teil- 
permutationsschltissel noch nicht vorhanden, so wird dieser 
fur die jeweilige Bitposition beibehalten. Dieses Verfahren 
wiederholt sich, bis jeder Bitposition des permutierten Da- 
5 tenwortes ein Teilpermutationsschliissel fiir die Auswahl eines 
Datenbits des zu permutierenden Datenwortes zugewiesen ist. 

Die Entschltisselung der in dem RAM abgespeicherten Datenworte 
erfolgt in entsprechender Weise wie das Verschliisselungsver- 

10 fahren. Wird bei einem zweistufigen Verfahren mit Permutation 
und Substitution das zu verschlusselnde Datenwort zunachst 
permutiert und dann substituiert, so wird beim Entschlusseln 
das verschlusselte Datenwort zunachst unter Verwendung eines 
zweiten Substitutionsschliissels 11 zuriick"- substituiert , urn die 

15 bei der Verschliisselung vorgenoramene Substitution riickgangig 
zu machen, und anschliefiend unter Verwendung eines zweiten 
Permutationsschltissels " zuriick" -permutiert , um die bei der 
Verschliisselung vorgenoramene Permutation riickgangig zu ma- 
chen. 

20 

Erfolgt bei der Verschliisselung des Datenwortes zunachst eine 
Substitution und dann eine Permutation, so wird bei der Ent- 
schliisselung das verschlusselte Datenwort zunachst unter Ver- 
wendung des zweiten Permutationsschliissels permutiert und an- 

2 5 schliefiend substituiert , um das ursprtingliche Datenwort zu- 

riick zu gewinnen. 

Abhangig von der Art der angewendeten Substitution kann der 
erste Substitutionsschlussel identisch zu dem zweiten Substi- 

3 0 tutionsschltissel gewahlt werden, beispielsweise dann, wenn 

die Substitution darin besteht, nach MaBgabe der Schlussel- 
bits des Substitutionsschlussel die einzelnen Datenbits un- 
verandert Oder invert iert abzubilden. 

35 Die vorliegende Erfindung wird nachfolgend in Ausf iihrungsbei- 
spielen anhand von Figuren naher erlautert. 
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Figur 1 zeigt eine Anordnung mit einer Verschliisselungs- 
und Entschlusselungsanordnung, die die in einem 
Wahlzugrif f sspeicher abzuspeichernden Daten ver- 
schlusselt und die aus dem Wahlzugrif f sspeicher 
5 ausgelesenen Daten entschliisselt . 

Figur 2 zeigt ein Ausf uhrungsbeispiel einer Verschlusse- 

lungs- und Entschlusselungsanordnung mit einer Ver- 
schlusselungseinheit, einer Entschlusselungsein- 
10 heit, einem Schlusselgenerator und einem Zufallsge- 

nerator . 

Figur 3 zeigt ein Ausf uhrungsbeispiel einer Verschlusse- 

lungseinheit, die eine Permutationseinheit und eine 
15 Substitutionseinheit umfasst. 

Figur 4 veranschaulicht schematisch den Aufbau einer Permu- 
tationseinheit, die Auswahleinheiten umfasst. 

20 Figur 5 zeigt ein Ausf uhrungsbeispiel einer Auswahleinheit , 
die mehrere Auswahlstuf en mit Auswahlschaltern um- 
fasst . 

Figur 6 veranschaulicht die Funktionsweise einer Auswahl- 
25 einheit fur ein Datenwort der Breite 8 Bit. 

Figur 7 zeigt ein schaltungstechnisch.es Realisierungsbei- 

spiel der in Figur 5 dargestellten Auswahlschalter . 

30 Figur 8 zeigt schematisch ein Ausf uhrungsbeispiel der in 
Figur 3 dargestellten Substitutionseinheit, die 
mehrere Substitutionselemente umfasst. 



Figur 9 

35 



veranschaulicht ein mogliches Realisierungsbeispiel 
der in Figur 8 dargestellten Substitutionselemente. 
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Figur 10 veranschaulicht den Aufbau des Permutationsschlus- 
sels aus Teilschlttsseln und Schlusselbits und den 
Aufbau des Substitutionsschlussels . 



5 Figur 11 veranschaulicht den vollstandigen Aufbau einer Per- 
mutationseinheit fur eine Verschlusselungseinheit 
gemafi Figur 2 fur Datenworte mit 4 Bit. 

Figur 12 zeigt die zu der in Figur 11 dargestellten Permuta- 
10 tionseinheit korrespondierende Permutationseinheit 

zur Verwendung in einer Entschltisselungseinheit ge- 
mMli Figur 2. 

Figur 13 zeigt schematisch den Aufbau eines in dem SchlUs- 
15 selgenerator vorhandenen internen Speichers zum Ab- 

speichern eines ersten Permutations schliissels fur 
die Verschliisselung und eines zweiten Permutations- 
schliissels fur die Entschlusselung. 



20 In den Figuren bezeichnen, sofern nicht anders angegeben, 

gleiche Bezugszeichen gleiche Teile und Signale mit gleicher 
Bedeutung . 

Figur 1 zeigt einen Wahlzugrif f sspeicher (RAM) 20, der dazu 
25 ausgebildet ist, Datenworte der L&nge n-Bit abzuspeichern . 
Der Speicher 2 0 besitzt einen Eingang 21 zum Einlesen abzu- 
speichernder Datenworte und einen Ausgang 22 zum Auslesen ab- 
gespeicherter Datenworte. Notwendige Steuerleitungen, uber 
welche dem Speicher die Speicheradressen mitgeteilt werden, 
30 an welchen die einzelnen Datenworte abgespeichert oder von 
welchen die einzelnen Datenworte ausgelesen werden sollen, 
sind in Figur 1 nicht dargestellt. 



Die Verarbeitung der in den Speicher 2 0 eingelesenen Daten- 
35 worte bzw. der aus dem Speicher ausgelesenen Datenworte er- 
folgt in einer Datenverarbeitungseinheit 30, beispielsweise 
einem Prozessor. Abhangig von der Art dieses Prozessors han- 
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delt es sich bei den in dem Speicher 20 abgelegten Datenworte 
beispielsweise urn Datenworte eines Programmcodes, der durch 
den Prozessor ausgefiihrt wird, Oder um Datenworte von Video- 
oder Audiodaten, die iiber den Prozessor 30 uber geeignete 
5 Ausgabeeinheiten zur Wahrnehmung gebracht werden. 

Die Datenverarbeitungseinheit 30 und der Speicher 20 sind 
nicht auf einem gemeinsamen Chip integriert, was in Figur 1 
durch die gestrichelte Linie zwischen der Datenverarbeitungs- 

10 einheit 30 und dem Speicher 20 veranschaulicht ist. Um ein 

"Abh6ren" Oder Storen der Datenkommunikation zwischen der Da- 
tenverarbeitungseinheit 3 0 und dem Speicher 20 zu verhindern, 
ist zwischen der Datenverarbeitungseinheit 30 und dem Spei- 
cher 20 auf dem selben Chip, auf dem die Datenverarbeitungs- 

15 einheit 30 angeordnet ist, eine Verschliisselungs- und Ent- 

schlusselungsvorrichtung 10 vorgesehen. Diese Vorrichtung 10 
verschlusselt von der Datenverarbeitungseinheit 30 ausgegebe- 
ne Datenworte M, um verschliisselte Datenworte M' zur Verfu- 
gung zu stellen, die in dem Speicher 2 0 wortweise abgelegt 

2 0 werden. In umgekehrter Richtung entschlusselt die Vorrichtung 
10 die in dem Speicher 20 verschlusselt abgelegten Datenworte 
M' um das ursprtingliche, durch die Datenverarbeitungseinheit 
30 verarbeitbare Datenwort wieder herzustellen. M bezeichnet 
in der Figur 1 und im Folgenden ein beliebiges unverschliis- 

2 5 seltes Datenwort der Lange n und M ' ein beliebiges durch Ver- 
schliisselung eines Datenwortes M entstandenes verschlusseltes 
Datenwort der L^nge n. 

Figur 2 zeigt schematisch den Aufbau einer solchen Verschlus- 
30 selungs- und Entschltisselungsvorrichtung 10. Die dargestellte 
Vorrichtung umfasst eine Verschliisselungseinheit 11, die ei- 
nen Eingang der Breite n-Bit zur Zufiihrung eines unver senilis - 
selten Datenwortes M und einen Ausgang 111 zur Ausgabe eines 
verschlusselten Datenwortes M 1 aufweist. Die Verschlusselung 
35 des Datenwortes M erfolgt nach Mafigabe eines ersten Schlus- 
sels C, der durch einen Schlusselgenerator 13 bereitgestellt 
wird. Zur Bereitstellung dieses ersten Schlussels C ist dem 
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Schliisselgenerator 13 eine binare Zuf allssequenz RS von einem 
binaren Zuf allszahlengenerator 12 zugefiihrt. 

Die Vorrichtung 10 umfasst weiterhin eine Verschlusselungs- 
5 einheit 11' mit einem Eingang 110' zur Zufiihrung eines ver- 
schliisselten Datenwortes M f der Breite n-Bit unci mit einem 
Ausgang 111' zur Bereitstellung des aus dem verschlusselten 
Datenwort M 1 erzeugten entschliisselten Datenwortes M. Die 
Entschltisselung erfolgt nach MalSgabe eines zweiten Schliissels 
10 C 1 , der auf den ersten Schliissel C abgestimmt ist und der e- 
benfalls durch den Schliisselgenerator 13 zur Verfiigung ge- 
stellt wird. 

Die Verschliisselungseinheit bildet das Datenwort unter Ver- 
15 wendung des ersten Schliissel C eindeutig auf das verschlus- 
selte Datenwort M' ab, wobei gilt: 

M' = E(M,C) (1) , 

20 wobei fur E die durch die Verschliisselungseinheit 11 reali- 
sierte Verschlusselungsf unktion steht. Entsprechend gilt: 

M - D (M f , C ) (2)., 

25 wobei D fur die durch die Entschltisselungseinheit 
11' realisierte Entschliisselungsf unktion steht. 

Figur 3 zeigt schematisch ein Ausfiihrungsbeispiel der Ver- 
schliisselungseinheit 11, die in dem Beispiel eine Permutati- 

3 0 onseinheit 14 und eine Substitutionseinheit 15 umfasst. Die 
Permutationseinheit 14 weist Eingange zur Zufiihrung der ein- 
zelnen Datenbits M[n-1] . ..M[0] des Datenwortes M und Ausgange 
zur Bereitstellung von Datenbits MpEn-1], Mp [k] , Mp[0] eines 
permutierten Datenwortes Mp auf . Die einzelnen Datenbits 

35 Mp [n-1] . . .Mp [0] des permutierten Datenwortes Mp resultieren 
aus den Datenbits M[n-1] ...M[0] des Datenwortes M durch Per- 
mutieren/Umordnen nach MaJigabe eines Permutationsschlussels 
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P. Die Permutation erfolgt dabei eineindeutig, das heifit, je 
ein Datenbit des unverschlusselten Datenwortes M wird auf ein 
Datenbit des permutierten Datenwortes Mp abgebildet. 

5 Die Datenbits Mp[n-1] . ..Mp[0] des permutierten Datenwortes Mp 
werden in dem Beispiel anschlieftend durch eine Substitutions- 
einheit 15 nach Maftgabe eines Substitutionsschliissels S sub- 
stituiert, wobei die Substitutionseinheit 15 die Datenbits 
des verschlusselten Datenwortes M 1 bereitstellt . Durch die 
10 Substitutionseinheit 15 wird nach Maftgabe des Substitutions- 
schliissels S je ein Datenbit des permutierten Datenwortes Mp 
auf ein Datenbit M 1 [n-1] . . .M 1 [0] des verschlusselten Daten- 
wortes M 1 abgebildet. 

15 Der Aufbau und die Funktionsweise der Permutationseinheit 14 
werden nachfolgend anhand der Figuren 5 bis 7 erlautert. An- 
schlieftend werden der Aufbau und die Funktionsweise der Sub- 
stitutionseinheit 15 anhand der Figuren 8 und 9 erlautert. 

20 Bezugnehmend auf Figur 4 besitzt die Permutationseinheit 14 
eine der Anzahl der Datenbits des zu verschlusselnden Daten- 
wortes M entsprechende Anzahl Auswahleinheiten 14_n-l . . . 14_0, 
wobei jeder dieser Auswahleinheiten alle Datenbits M [n- 
1]...M[0] des zu verschlusselnden Datenwortes M zugefuhrt 

2 5 sind und wobei die einzelnen Auswahleinheiten 14__n-l . . . 14_0 
jeweils ein Datenbit Mp [n-1] . . .Mp [0] des permutierten Daten- 
wortes Mp zur Verftigung stellen. Die Abbildung eines der Da- 
tenbits des unverschlusselten Datenwortes M auf eines der Da- 
tenbits des permutierten Datenwortes Mp erfolgt in den Aus- 

30 wahleinheiten 14_n-l . . . 14__0 nach Maftgabe von Teilpermutati- 
onsschliisseln P[n-1], P [k] , P[0]. Diese Teilpermutations- 
schliissel unterscheiden sich jeweils, urn jedes der Datenbits 
des Eingangs datenwortes M genau einmal auf ein Datenbit des 
permutierten Datenwortes Mp abzubilden, Die Teilpermutations- 

35 schltissel ergeben gemeinsam den Permutationsschliissel, wobei 
gilt: P = (P[n-1], ... P[0]). 
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Die einzelnen Auswahleinheiten 14__n-l . . . 14_0 sind identisch 
aufgebaut, wobei der Aufbau einer beliebigen dieser Auswahl- 
einheiten, im vorliegenden Fall der Auswahleinheit 14_k nach- 
folgend anhand von Figur 5 erlautert wird. 

5 

Diese Auswahleinheit 14_k stellt das Datenbit Mp [k] aus den 
Datenbits M [n-1] . . .M [0] des Datenwortes M nach Maligabe des 
Teilpermutationsschlussels P[k] zur Verfugung. Dieser Teil- 
permutationsschlussel umfasst m Schliisselbits P[k,m- 
10 1] . . .P[k,0] . 

Die Auswahleinheit 14_k umfasst mehrere Auswahlstuf en 
141_0 . . . 141_m-l . Einer ersten Auswahlstuf e 141_0 sind dabei 
alle Datenbits des Eingangsdatenwortes M zugefuhrt. Diese 

15 erste Auswahlstuf e 141_0 wahlt nach Mafigabe eines ersten 

Schliisselbits P[k,0] des Teilpermutationsschlussels P[k] eine 
erste Gruppe von Datenbits aus, die einer zweiten Auswahlstu- 
fe 14l_l zugefuhrt sind. Die zweite Auswahlstufe 141__1 bildet 
aus dieser ersten Gruppe nach Maligabe eines zweiten Schlus- 

20 selbits P[k,l] eine zweite Gruppe, die der dritten Auswahl- 
einheit 141_2 zugefiihrt ist. 

In dem dargestellten Beispiel erfolgt von Auswahlstufe zu 
Auswahlstufe eine Reduktion der in den jeweiligen Gruppen 
25 vorhandenen Datenbits urn einen Faktor 2, so dass nach m = 
log 2 (n) Auswahlstuf en nur noch ein Datenbit vorhanden ist, 
das dem Datenbit Mp [k] des permutierten Datenwortes Mp ent- 
spricht. In dem Beispiel, in dem n = 32 = 2 5 gilt, sind somit 
m = 5 Auswahlstuf en vorhanden. 

30 

Jede der Auswahlstuf en umfasst in dem Beispiel eine Anzahl 
von Auswahlschaltern 142 , denen jeweils zwei Datenbits einer 
Datengruppe zugefuhrt sind, und die jeweils nach Mafigabe ei- 
nes Permutationsschlusselbits eines der beiden Datenbits aus- 
35 wahlen und an die nachste Auswahlstufe weitergeben. 
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Die Zuftihrung der einzelnen Datenbits zu den Auswahlschaltern 
der jeweiligen Auswahlstufe erfolgt derart, dass einem Aus- 
wahlschalter jeweils zwei Datenbits zugefuhrt sind, die bezo- 
gen auf die Gruppe, aus denen die jeweilige Auswahlstufe eine 
5 Auswahl trifft, auf einanderf olgende Bitpositionen besitzen. 
In dem Beispiel gemafi Figur 5 wird dabei das jeweils hoher- 
wertige Bit einem ersten Eingang INI und das jeweils nieder- 
wertigere Bit einem zweiten Eingang IN2 des jeweiligen Aus- 
wahlschalters 142 zugefuhrt sind. Bei einem Schlusselbit "1" 
10 wird in dem dargestellten Beispiel das am Eingang INI anlie- 
gende Bit, also das hSherwertige Bit an den Ausgang 0UT1 und 
damit an die nachste Auswahlstufe weitergegeben. 

Die Funktionsweise der in Figur 5 dargestellten Auswahlein- 
15 heit wird nachfolgend anhand eines 8 Bit breiten Datenwortes 
M in Figur 6 erlautert. Von diesen 8 Datenbits M[7]...M[0] 
wird eines ausgewahlt, urn das Datenbit Mp [k] des permutierten 
Datenwortes zu bilden. Das erste Schlusselbit P[k,0] des 
Teilschliissels P[k] betragt 1, so dass von jeweils zwei in 

2 0 ihrer Wertigkeit auf einanderf olgenden Datenbits das jeweils 

hoherwertige ausgewahlt wird, woraus eine erste Gruppe mit 
den Datenbits M[7] , M [5] , M[3] , M[l] resultiert. Von jeweils 
zwei beziiglich ihrer Wertigkeit auf einanderf olgenden Daten- 
bits, also den Datenbits M[7], M[5] und M[3], M[l] wird nach 

25 Maligabe des zweiten Schlusselbits P[k,l] je ein Datenbit aus- 
gewahlt. Dieses Schlusselbit ist in dem Beispiel "0", so dass 
jeweils das niederwertigere der beiden Datenbits, also die 
Datenbits M[5], M[.l] ausgewahlt werden. Aus dieser resultie- 
renden weiteren Gruppe von Datenbits wird nach Maligabe des 

30 dritten Schlusselbits P[k,2] eines, im vorliegenden Fall das 
hoherwertigere, also das Datenbit M[5] ausgewahlt, urn das Da- 
tenbit Mp[k] des permutierten Datenwortes zu bilden. 

Ordnet man die Datenbits in jeder der Auswahlgruppen abhangig 

3 5 von Ihrer Wertigkeit und wahlt man von zwei in ihrer Wertig- 

keit benachbarten Datenbits bei einem Schlusselbit "1" je- 
weils das hoherwertigere und bei einem Schlusselbit "0" je- 
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weils das niederwertigere dieser beiden Datenbits aus, so 
entspricht der Wert der Bit- Position des ausgewahlten Daten- 
bits, im vorliegenden Fall des Datenbits M[5] , dem dezimalen 
Aquivalent des Teilsschlussels P[k], wie nachfolgend erlau- 
tert ist: 

Betrachtet man den Teilschlussel P[k] als binare Zahlenfolge, 
dessen signif ikantestes Bit (MSB) durch das Schlusselbit 
P[k,m-1] der letzten Auswahlstufe und dessen am wenigsten 
signif ikante Bit (LSB) durch das Schlusselbit P[k,0] der ers- 
ten Auswahlstufe gebildet wird, so entspricht das dezimale 
Aquivalent dieser Binarfolge, im vorliegenden Fall 101 2 = 5i 0 
der Bitposition des aus dem Datenwort M ausgewahlten Daten- 
bits M[5] . 

Ein schaltungstechnisches Realisierungsbeispiel eines der 
Auswahlschalter 142 ist in Figur 7 dargestellt. Zur Realisie- 
rung der erlauterten Auswahlfunktion umfasst der Auswahl- 
schalter zwei UND-Gatter AND1 , AND2 , deren Ausgange einem O- 
DER-Gatter ORl zugefuhrt sind, wobei der Ausgang dieses ODER- 
Gatters den Ausgang OUT1 des Auswahlschalters bildet. Je ei- 
ner der Eingange INI, IN2 zur Zufuhrung der Datenbits ist ei- 
nem der UND-Gatter ANDl, AND2 zugefuhrt. Der andere Eingang 
des UND-Gatters ANDl ist an den dritten Eingang IN3 zur Zu- 
fuhrung eines Schlusselbits gekoppelt, wobei dem anderen Ein- 
gang des UND-Gatters AND2 dieses Schlusselbit invertiert uber 
einen Inverter INV1 zugefuhrt ist. Bei Anlegen einer logi- 
schen "1" am dritten Eingang IN3 wird somit das am ersten 
Eingang INI anliegende Datenbit uber das erste UND-Gatterbit 
ANDl und das ODER-Gatter ORl an den Ausgang OUT1 weitergege- 
ben. Bei einer logischen "0" am dritten Eingang IN3 wird ent- 
sprechend das Datenbit am zweiten Eingang IN2 uber das zweite 
UND-Gatter AND2 und das ODER-Gatter ORl an den Ausgang OUT1 
weitergegeben . 

Bezugnehmend auf Figur 8 umfasst die Substitutionseinheit 15 
eine der Anzahl der Datenbits entsprechende Anzahl Substitu- 
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tionselemente 15_n-l . . . 15__0 , denen jeweils ein Datenbit des 
zu substituierenden Datenwortes, in dem Beispiel gemafi Figur 
3 des permutierten Datenwortes Mp, zugefuhrt sind. Der 
Schltissel S, nach dessen Mafigabe die Substitution erfolgt, 
5 umfasst n Schltisselbits S [n-1] . . . S [0] , wobei jedem der Sub- 
stitutionselemente eines dieser Schltisselbits S [n-1] . . . S [0] 
zugefuhrt ist. Die Substitutionselemente 15_n-l . . . 15_0 sind 
dazu ausgebildet, nach Maligabe des jeweiligen Substitutions- 
schliisselbits S [n-1] . . . S [0] das dem jeweiligen Substitutions- 
10 element 15_n-l . . . 15_0 zugefuhrte Datenbit Mp [n-1] . . .Mp [0] un- 
verandert oder invertiert auszugeben. 

Ein schaltungstechnisches Realisierungsbeispiel eines solchen 
Substitutionselements ist in Figur 9 dargestellt. Das Substi- 

15 tut ions element 15_k umfasst ein erstes und zweites UND-Gatter 
AND3, AND4 und ein den UND-Gattern AND3 , AND4 nachgeschalte- 
tes ODER-Gatter OR2 an dessen Ausgang das substituierte Da- 
tenbit zur Verfiigung steht. Das zu substituierende Datenbit 
wird dem Substitutionselement iiber einen ersten Eingang IN4 

20 zugefxihrt, wobei dieses Datenbit iiber einen ersten Inverter 
INV2 dem ersten UND-Gatter AND3 invertiert und dem zweiten 
UND-Gatter AN 4 unverandert zugefuhrt ist. Das an einem zwei- 
ten Eingang IN5 des Substitutions elements anliegende jeweili- 
ge Substitutionsschlusselbit wird dem ersten Gatter AND3 un- 

25 verandert und dem zweiten UND-Gatter AND4 invertiert mittels 
eines zweiten Inverters INV3 zugefuhrt. Diese Anordnung ge- 
wahrleistet, dass bei einem Substitutionsschlusselbit "1" das 
am ersten Eingang IN4 anliegende Datenbit invertiert und bei 
einem Substitutionsschlusselbit "0" unverandert am Ausgang 

30 0UT2 zur Verfiigung gestellt wird. 

In dem Ausf lihrungsbeispiel gemafi Figur 3 wird das verschlus- 
selte Datenwort M f aus dem unverschliisselten Datenwort M 
durch Permutation und anschliefiende Substitution des aus der 
35 Permutation result ierenden permutierten Datenwortes Mp er- 
zeugt. Selbstverstandlich besteht auch die MSglichkeit, das 
Datenwort M zunachst unter Verwendung des Substitutions- 
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schliissels M zu substituieren und das daraus resultierende 
substituierte Datenwort anschlieJJend unter Verwendung des 
Permutationsschliissels P zu permutieren, urn zu dem verschltis- 
selten Datenwort M' zu gelangen. 

5 

MaJigeblich fur die Leistungsf ahigkeit eines Verschlusselungs- 
systems ist die Anzahl moglicher unterschiedlicher Schliissel. 
Der Schliissel C zur Verschliisselung eines Datenwortes M setzt 
sich in dem erlauterten Beispiel aus einem Permutations- 

10 schliissel P und einem Substitutionsschltissel S zusammen. Der 
Permutationsschlussel P umfasst eine der Anzahl der Datenbits 
entsprechende Anzahl Teilschliissel fur deren Lange m=log 2 (n) 
gilt. Bezugnehmend auf Figur 10 kann der Permutationsschlus- 
sel als Vektor mit n Teilschliisseln P [n-1] . . .P [0] oder als 

15 n x m-Matrix der einzelnen Teilschlusselbits 

P [n-l,m-l] . . . P [0, 0] betrachtet werden. Fur Datenworte der 
Lange n=32 umfasst der Permutationsschlussel 32 jeweils ver- 
schiedene Teilschliissel P [n-1] . . . P [0] woraus 32! unterschied- 
liche Schliisselkombinationen resultieren. Beriicksichtigt man 

20 dass fur den Substitutionsschlussel S 2 n Moglichkeiten zur 

Verfiigung stehen, so ergibt sich fur die Anzahl N der mogli- 
chen Schliissel C fur zu verschliisselnde Datenworte der Lange 
n=32: N = (32!)-2 32 . 

25 Der Substitutionsschlussel S fiir die Verschltisselung und die 
Entschliisselung kann auf einfache Weise als Teil einer binS- 
ren Zuf allssequenz erzeugt werden. 

Ein Verfahren zur Erzeugung des Permutationsschliissels wird 
30 nachfolgend fur ein Datenwort der L£nge n=4 Bit anhand der 
Figuren 11 bis 13 erlautert. 

Figur 11 zeigt zunachst eine erste Permutationseinheit 14 zur 
Erzeugung eines permutierten Datenwortes Mp aus einem Daten- 
35 wort M mit n=4 Auswahleinheiten 14_3, 14_2 # 14_1, 14_0 7 die 
jeweils 2-stufig (m=log 2 4=2) ausgebildet sind. 
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Figur 12 zeigt eine zu der Permutationseinheit 14 gemali Figur 
11 korrespondierende zweite Permutationseinheit, die zum 
Ruckgangigmachen der durch die erste Permutationseinheit 14 
vorgenommenen Permutation beim Entschliisseln des Datenwortes 
5 in der Entschlusselungseinheit (11 in Figur 3) dient. Diese 
zweite Permutationseinheit 14' ist identisch zu der ersten 
Permutationseinheit 14 aufgebaut und umfasst vier Auswahlein- 
heiten 14'_3, 14'_2, 14'_1, 14'_0. Jede dieser Auswahleinhei- 
ten 14 '_3 ... 14 '_0 dient dazu, eines der Datenbits 

10 Mp[3] . . .Mp[0] des permutierten Datenwortes Mp auf eines der 

Datenbits M[3]...M[0] des urspriinglichen Datenwortes M zurtick 
abzubilden. Diese Auswahl eines der Datenbits in den einzel- 
nen Auswahleinheiten 14'_3. . . 14'_0 erfolgt jeweils nach MaiJ- 
gabe von Teilschlusseln P' [3] . . . P' [0] eines zweiten Permuta- 

15 tionsschliissels P' , wobei in dem dargestellten Beispiel gilt: 
P' =(P'[3], P'[2], P'[l], P'[0]), wobei die einzelnen Teil- 
schlussel P' [3] . . .P' [0] jeweils zwei Teilschlusselbits 
P' [3,1] . . .P' [0,0] umfassen. 

20 Die Erzeugung der Teilschliissel P[3]... P[0] des ersten Per- 
mutationsschlussels P sowie der zugehorigen Teilschliissel 
P' [3] . . .P' [0] des zweiten PermutationsschlUssels P' wird 
nachfolgend anhand von Figur 13 erlautert. 

25 Zur Erzeugung des ersten und zweiten PermutationsschlUssels 
P, P' umfasst der Schlttsselgenerator (13 in Figur 2) einen 
ersten und einen zweiten Schlusselspeicher 131, 131' sowie 
ein Zuordnungsregister 132. Die Schlusselspeicher 131, 131' 
sind dazu ausgebildet, jeweils n Teilschliissel der Schlussel- 

30 breite m=log 2 (n) zu speichern. Fur n=4 sind in jedem Schlus- 
selspeicher vier Teilschlussel der Lange 2 abspeicherbar . Die 
Zuordnung der in dem ersten Schlusselspeicher 131 abgespei- 
cherten Teilschlussel zu den Auswahleinheiten 14_3 . . . 14_0 und 
damit zu den einzelnen Datenbits des permutierten Datenwortes 

35 Mp erfolgt liber die Adresse des Schliisselspeichers 131, der 

zeilenweise adressierbar ist und der in dem Beispiel n=4 Zei- 
len umfasst. Die Speicheradresse eines Teilschltissels in die- 
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sem ersten Speicher 131 entspricht dabei der Bitposition des 
Datenbits des permutierten Datenwortes, der der jeweilige 
Schliissel zugeordnet ist. Ein Teilschlussel P[k] an der Spei- 
cheradresse k des Schlusselspeichers 131 ist damit dem k-ten 
5 Datenbit Mp [k] des permutierten Datenwortes Mp zugeordnet, 
wobei k eine der moglichen Zeilenadressen 0...n-l des Spei- 
chers reprasentiert . 

Die Zuordnung der Teilschlussel P' [3] . . . P' [0] des zweiten 
10 Teilschliissels P' zu den Auswahleinheiten 14'_3 ... 14'_0 

bzw. den Datenbits M[3]...M[0] des ursprunglichen Datenwortes 
erfolgt in entsprechender Weise. Das heifit, der an der Spei- 
cherposition k des zweiten Schlusselspeichers 131' abgespei- 
cherte Teilschlussel P' [k] ist der Auswahleinheit 14'_k zuge- 
15 ordnet und bestimmt, welches der Datenbits des permutierten 
Datenwortes Mp auf das Datenbit M[k] an der k-ten Position 
des Datenwortes M abgebildet werden soli . 

Die Erzeugung der Teilschlussel P[3]...P[0] des ersten Permu- 
20 tationsschliissels und der zweiten Teilschlussel P f [3] . . ; P' [0] 
erfolgt aufeinander abgestimmt in der im folgenden erlauter- 
ten Weise. 

Die Teilschlussel des ersten Permutationsschlussels P werden 
25 aufeinanderfolgend als zufallige Binarsequenzen der Lange m=2 
unter Verwendung des in Figur 2 dargestellten Funktionsgene- 
rators 12 erzeugt. Wie erlSutert mussen sich die einzelnen 
Teilschlussel voneinander unterscheiden, um eine eindeutige 
Zuordnung der Datenbits des zu permutierenden Datenwortes M 
30 auf die Datenbits des permutierten Datenwortes Mp zu errei- 
chen. In dem anhand der Figuren 11 und 12 erlauterten Bei- 
spiel gibt es n=4 unterschiedliche Teilschlussel, die den 
vier Auswahleinheiten beliebig zugeordnet werden konnen. 

35 Jedem der im vorliegenden Fall moglichen unterschiedlichen 

Teilschlussel "11", "10", "01", "00" ist eine Speicherpositi- 
on des Zuordnungsregisters 132 zugeordnet, wobei in dem Zu- 
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ordnungsregister an der jeweiligen Speicherposition ein vor- 
gegebener Wert eingetragen wird, wenn der zugeordnete Teil- 
schlussel bereits an einer Speicherposition des Speichers 
131, und damit fur eine der Auswahleinheiten 14_3...14_0, be- 
5 reits erzeugt wurde, urn ein erneutes Erzeugen desselben 

Schlussels an einer anderen Speicheradresse und damit fur ei- 
ne andere Auswahleinheit 14__3 . . . 14_0 zu vermeiden. 

Die Zuordnung eines bestimmten der moglichen Teilschlussel zu 
10 einer Speicheradresse des Zuordnungsregisters 132 erfolgt in 
dem Beispiel durch unmittelbares Abbilden des durch den Teil- 
schlussel reprasentierten Wert auf die Adresse -der Speicher- 
position des Abbildungs speichers 132. So ist einem Teil- 
schlussel "10" beispielsweise die Speicherposition 10 2 =2 des 
15 Zuordnungsspeichers 132 zugeordnet. Gilt fur einen Teil- 
schlussel allgemein P[k]=w n -i ... w 0/ so gilt fur die diesem 
Teilschlussel zugeordnete Adresse W des Abbildungsspeichers : 



Fur die Erzeugung des Permutationsschliissels werden aufeinan- 
derfolgend fur die einzelnen Speicheradressen des ersten Per- 
mutationsschlusselspeichers 131 jeweilige Teilschlussel zu- 
fallig erzeugt, wobei nach Erzeugung eines jeweiligen Teil- 

25 schltissels anhand der Oberprtifung des Zuordnungsregisters er- 
mittelt wird, ob ein solcher Teilschltissel bereits erzeugt 
wurde. Wurde ein solcher Teilschlussel bereits erzeugt, so 
wird der Teilschlussel verworfen und ein neuer Teilschlussel 
wird zufallig generiert. Dieser Vorgang wird solange wieder- 

30 holt, bis Teilschltissel fiir alle Speicherpositionen, und da- 
mit fur alle Auswahleinheiten der Permutationseinheit 14 er- 
zeugt wurden. 

Wird einer der moglichen Teilschlussel zum ersten Mai er- 
35 zeugt, so wird an der diesem Schlussel zugeordneten Speicher- 
adresse des Zuordnungsspeichers 132 ein bestimmter Wert, bei- 
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spielsweise eine "1" eingetragen. Wird dieser Teilschlussel 
zufSllig fiir eine andere Speicherposition des Speichers 131 
nochmals erzeugt, wird dies anhand des eingetragenen Wertes 
in dem Zuordnungsspeicher 132 erkannt, und der Teilschlussel 
5 wird fur diese andere Speicherposition verworfen. 

Wie bereits erlautert, entspricht der binare Wert eines Teil- 
schlttssels P[3]...P[0], der einer Auswahleinheit 14__3...14_0 
bzw. einem Datenbit Mp [3] . . .Mp [0] des permutierten Datenwor- 

10 tes Mp zugeordnet ist, der Datenposition des durch die jewei- 
lige Auswahleinheit ausgewahlten Datenbit s M[3]...M[0] des 
Eingangswortes M. Entsprechend geben die Teilschlussel P' [n- 
1]...P'[0] des zweiten Permutationsschlussels P' jeweils an, 
welches der Datenbits des permutierten Datenwortes Mp auf das 

15 Datenbit M[3]...M[0] abgebildet werden soil, dem der jeweili- 
ge Teilschlussel zugeordnet ist. 

Gilt allgemein, dass ein dem k-ten Datenbit Mp [k] des permu- 
tierten Datenwortes Mp zugeordneter Teilschlussel P[k] das i- 
20 te Datenbit M[i] des zu permutierenden Datenwortes auf dieses 
Datenbit des permutierten Datenwortes Mp abbildet, so muss 
umgekehrt, der dem i-ten Datenbit zugeordnete Teilschlussel 
P' [i] das k-te Datenbit des permutierten Datenwortes Mp auf 
dieses Datenbit abbilden. 

25 

Der zweite Schlusselspeicher 131' ist entsprechend des ersten 
Schliisselspeichers 131 organisiert, das heiJit die Adressen, 
an denen die einzelnen Teilschlussel P f [n-1] . . . P' [0] abge- 
speichert sind, entsprechen den Bitpositionen der Datenbits 
30 M[n-1] . . .M[0] # denen die einzelnen Teilschlussel zugeordnet 
sind. 

Urn nun zu einem zufallig erzeugten, dem k-ten Datenbit des 
permutierten Datenwortes Mp zugeordneten Teilschlussel P[k] 
35 des ersten Permutationsschlussels P einen passenden Teil- 
schlussel des zweiten Permutationsschlussels P' zu erzeugen, 
wird der Adresswert k des ersten Teilschltissels P[k] an der 
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Adresse in dem zweiten Schlusselspeicher 131' eingetragen, 
deren Wert dem durch den ersten Schliissel reprasentieren Bi> 
narwert i entspricht. Fur P[k]=i gilt also: P' [i]=k 

Die Erzeugung des ersten und zweiten Permutationsschliissels 
lasst sich anhand des folgenden Algorithmus beschreiben: 



Zeile 1 
Zeile 2 
Zeile 3 

Zeile 4 
Zeile 5 
Zeile 6 
Zeile 4 



FOR k = (n-1) DOWNTO 0 

Hole Zufallszahl vom Generator und berechne i 
Prufe, ob MapReg (i) = 1 gilt, falls ja, gehe zu 
Zeile 2 

Setze MapReg (i) = 1 
Setze o_store (k) = i 
Setze i_store(i) = k 
NEXT k. 



MapReg (i) stent dabei fur den Wert an der Adresse k des Zu- 
ordnungsregisters . o_store(k) steht fur den Wert an der Ad- 
resse k des ersten Speichers, und i_store(i) steht fur den 
Wert an der Adresse i des zweiten Speichers 131' . 

Wie bereits erlautert wird die bei der Verschlusselung und 
entsprechend bei der Entschlusselung vorgenommene Permutation 
durch eine Substitution nach MaJigabe eines Substitutions- 
schltissels erganzt. Diese Substitution kann beim Verschltls- 
seln sowohl vor der Permutation als auch nach der Permutation 
erfolgen, wobei bei der Entschlusselung in umgekehrter Rei- 
henfolge vorgegangen wird. Erfolgt beim VerschlQsseln die 
Substitution nach der Permutation, so erfolgt beim Entschlus- 
seln die erneute Substitution vor der Permutation. Bei der 
bereits erlMuterten Substitution, bei der nach MaBgabe der 
Substitutionsschlusselbits des jeweils zugeordnete Datenbit 
invertiert oder unverandert weitergegeben wird, wird beim 
Entschlusseln derselbe Substitutionsschliissel wie beim Ver- 
schliisseln verwendet. 
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Patent anspruche 

1. Verfahren zum Speichern von Daten in einem Wahlzugrif f s- 
speicher, in dem Datenworte, die jeweils eine vorgegebene An- 
5 zahl Datenbits umfassen, abspeicherbar sind, 

dadurch gekennzeichnet, dass 
vor der Speicherung eine VerschlUsselung eines jeden Daten- 
wortes (M) erfolgt, indem aus jedem Datenwort (M) oder einem 
aus dem Datenwort (M) abgeleiteten Datenwort durch eineindeu- 
10 tiges Permutieren der einzelnen Datenbits (M [n-1] -M [0] ) unter 
Verwendung eines ersten Permutationsschlussels (P) , ein per- 
mutiertes Datenwort (Mp) mit der vorgegebenen Anzahl Daten- 
bits erzeugt wird. 

15 2. Verfahren nach Anspruch 1, bei dem die einzelnen Datenbits 
(M[n-1] -M[0] ) des permutierten Datenwortes (Mp) vor dem Ab- 
speichern unter Verwendung eines ersten Substitutionsschllis- 
sels substituiert werden, urn das verschliisselte Datenwort 
(M' ) zur Verfugung zu stellen. 

20 

3. Verfahren nach Anspruch 1, bei dem die einzelnen Datenbits 
des Datenwortes (M) vor dem Umordnen unter Verwendung eines 
ersten Substitutionsschlussels (S) substituiert werden, urn 
ein substituiertes Datenwort zur Verfugung zu stellen. 

25 

4. Verfahren nach einem der vorangehenden Anspruche, bei dem 
der Permutationsschlussel (P) eine der Anzahl n der Datenbits 
entsprechende Anzahl eindeutige Teilschliissel (P [n-1] -P [0] ) 
aufweist, die jeweils einem Datenbit (Mp [n-1] -Mp [0] ) des per- 

3 0 mutierten Datenwortes (Mp) zugeordnet sind, und die jeweils 

das auf dieses Datenbit (Mp [n-1] -Mp [0] ) abzubildende Datenbit 
(M[n-1] -M[0] ) des zu permutierenden Datenwortes (M) angeben, 
wobei jeder Teilschliissel (P [n-1] -P [0] ) eine Anzahl Schlus- 
selbits (P[n-l,m-l] -P[n-1,0] , P [k,m-l] -P [k, 0] , P[0,m-1]- 

35 P[0,0]) umfasst. 
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5. Verfahren nach Anspruch 4, bei dem die Abbildung eines Da- 
tenbits (M [n-1] -M [0] ) des zu permutierenden Datenwortes (3VI) 
auf ein Datenbit (Mp [k] ) des permutierten Datenwortes unter 
Verwendung eines Teilschlussels (P[k]) stufenweise mit fol- 
genden Verf ahrensschritten erf olgt : 

a) Auswahlen einer ersten Gruppe von Datenbits des zu permu- 
tierenden Datenwortes (Mp) nach Maibgabe eines ersten Schltis- 
selbits (P[k,0]) des Teilschlussels (P[k]), 

b) Auswahlen einer zweiten Gruppe von Datenbits aus der ears- 
ten Gruppe von Datenbits nach Mafcgabe eines zweiten Schltis- 
selbits (P[k,l]) des Teilschlussels (P[k]), 

c) Wiederholen des Verf ahrensschrittes b) unter Verwendung 
jeweils eines weiteren Schlusselbits (P [k, 2] . . . P [k,m-l] ) bis 
die ausgewahlte Gruppe nur noch ein Datenbit umfasst, das dem 
Datenbit (Mp [k] ) des permutierten Datenwortes (Mp) ent- 
spricht . 

6. Verfahren nach Anspruch 5, bei dem die Anzahl der in einer 
Gruppe von Datenbits enthaltenen Datenbits von Stufe zu Stufe 
urn einen Faktor 2 reduziert wird. 

7. Verfahren nach einem der vorangehenden Anspriiche, bei clem 
der erste Substitutionsschlussel (S) eine der Anzahl der Da- 
tenbits des zu substituierenden Datenwortes (Mp) entsprechen- 
de Anzahl Schlusselbits (S [n-1] . . .S [0] ) aufweist, wobei jedes 
Datenbit des zu substituierenden Datenwortes (Mp) nach MaBga- 
be eines dieser SchlOsselbits (S [n-1] . . .S [0] ) unverandert o- 
der invertiert auf ein Datenbit (M' [n-1] . . .M' [0] ) des substi- 
tuierten Datenwortes (M' ) abgebildet wird. 

8. Verfahren nach einem der vorangehenden Anspruche, bei clem 
der Permutationsschlussel (P) und der Substitutionsschlussel 
(S) vor einem neuen Beschreiben des Speichers nach einem Li6- 
schen neu erzeugt werden. 
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9. Verfahren nach einem der vorangehenden Anspruche, das zur 
Erzeugung eines Permutationsschlttssels (P) folgende Verfah- 
rensschritte umf asst : 

5 

a) zufalliges Erzeugen eines Teilpermutationsschlussels und 
Zuordnen des Teilschlussels einer Bitposition des permutier- 
ten Datenwortes, 

10 b) Oberprufen, ob der erzeugte Teilpermutationsschlussel be- 
reits fur eine andere Bitposition des permutierten Datenwor- 
tes erzeugt wurde, und Beibehalten des erzeugten Teilpermuta- 
tionsschlussels, wenn er noch nicht erzeugt wurde, und Ver- 
werfen des erzeugten Teilpermutationsschlussels,, wenn er be- 

15 reits erzeugt wurde. 

c) Durchfuhren der Verf ahrensschritte a) und b) bis fur jede 
Bitposition des permutierten Datenwortes (Mp) ein Teilschlus- 
sel erzeugt ist. 

20 

10. Verfahren nach einem der vorangehenden Anspruche, bei dem 
ein aus einem Datenwort (M) unter Verwendung des ersten 
Schlussels erzeugtes Datenwort (W ) nach dem Auslesen aus dem 
Speicher unter Verwendung eines zweiten Permutat ionsschlussel 

25 (P'), der auf den ersten Permutationsschliissel (P) abgestimmt 
ist, permutiert wird, urn das Datenwort zu erzeugen, 

11. Vorrichtung zur VerschlOsselung/Entschlusselung eines Da- 
tenbits (MCn-1], M[k], M[0]) umf assenden Datenwortes (M) , die 

3 0 eine Permutationseinheit (14) mit folgenden Merkmale auf- 
weist : 

- Dateneingange zur Zufuhrung der Datenbits (M[n-1], M [k] , 
M[0]) des zu permutierenden Datenwortes (M) , 

35 
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- Ausgange zur Bereitstellung der Datenbits (MpCn-l], Mp [k] , 
Mp[0]) eines permutierten Datenwortes (Mp) der vorgegebenen 
Lange (n) , 

- Permutationsschlusseleingange zur Zuftihrung eines Permuta- 
tionsschlussels (P) , der eine der Anzahl der Datenbits ent- 
sprechende Anzahl (n) Teilschliissel (P[n-1]... P[0]) umfasst, 

- eine der Anzahl der Datenbits entsprechende Anzahl Auswahl- 
einheiten (14_n-l, 14_k, 14_0) , denen jeweils ein Teilschlus- 
sel zugeordnet ist und die jeweils ein Datenbit (Mp[n-1] , 
Mp[k], Mp[0]) des permutierten Datenwortes (Mp) nach Maftgabe 
je eines der Teilschliissel (P[n-1]... P[0]) aus den Datenbits 
des zu permutierenden Datenwortes (M) bereitstellen. 

12. Vorrichtung nach Anspruch 11, bei der jede Auswahleinheit 
(14_k) eine der Anzahl von Permutationsschlusselbits der 
Teilschliissel entsprechende Anzahl auf einanderf olgend ange- 
ordneter Auswahlstuf en (141_n-l, 141_k, 141_0) aufv/eist, wo- 
bei eine erste Auswahlstuf e (141_0) dazu ausgebildet ist, 
nach Mafigabe eines ersten Schlusselbits (P[k, 0]) eine erste 
Gruppe von Datenbits aus dem zu permutierenden Datenwort (M) 
auszuwahlen und bereitzustellen, und wobei nachf olgende Aus- 
wahlstuf en (141_1, 141_2, 141_jn-l) dazu ausgebildet sind, je- 
weils nach Mallgabe eines Schlusselbits (P[k, 1], P[k, 2], 
P[k,m-1]) aus der von der jeweils vorherigen Auswahlstuf e be- 
reitgestellten Gruppe von Datenbits eine Untergruppe auszu- 
wahlen. 

13. Vorrichtung nach Anspruch 11 oder 12, bei der der Permu- 
tationseinheit (14) eine Substitutionseinheit vorgeschaltet 
oder nachgeschaltet ist, die nach MaBgabe eines Substituti- 
onsschlussels (S) Datenbits (Mp[n-1], Mp [k] , MptO]) eines zu 
substituierenden Datenwortes (Mp) substituiert . 
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